灰鴿子一起研究下

我我灰鴿子 · 發(fā)表于 2012-12-23 17:15:06

灰鴿子是國(guó)內(nèi)一款著名后門。比起前輩冰河、黑洞來(lái)，灰鴿子可以說(shuō)是國(guó)內(nèi)后門的集大成者。其豐富而強(qiáng)大的功能、靈活多變的操作、良好的隱藏性使其他后門都相形見(jiàn)絀�？蛻舳撕�(jiǎn)易便捷的操作使剛?cè)腴T的初學(xué)者都能充當(dāng)黑客。當(dāng)使用在合法情況下時(shí)，灰鴿子是一款優(yōu)秀的遠(yuǎn)程控制軟件。但如果拿它做一些非法的事，灰鴿子就成了很強(qiáng)大的黑客工具。這就好比火藥，用在不同的場(chǎng)合，給人類帶來(lái)不同的影響。對(duì)灰鴿子完整的介紹也許只有灰鴿子作者本人能夠說(shuō)清楚，在此我們只能進(jìn)行簡(jiǎn)要介紹。
灰鴿子客戶端和服務(wù)端都是采用Delphi編寫。黑客利用客戶端程序配置出服務(wù)端程序�？膳渲玫男畔⒅饕ㄉ暇€類型（如等待連接還是主動(dòng)連接）、主動(dòng)連接時(shí)使用的公網(wǎng)IP（域名）、連接密碼、使用的端口、啟動(dòng)項(xiàng)名稱、服務(wù)名稱，進(jìn)程隱藏方式，使用的殼，代理，圖標(biāo)等等。
服務(wù)端對(duì)客戶端連接方式有多種，使得處于各種網(wǎng)絡(luò)環(huán)境的用戶都可能中毒，包括局域網(wǎng)用戶（通過(guò)代理上網(wǎng)）、公網(wǎng)用戶和ADSL撥號(hào)用戶等。
下面介紹服務(wù)端：
配置出來(lái)的服務(wù)端文件文件名為G_Server.exe（這是默認(rèn)的，當(dāng)然也可以改洌?H緩蠛誑屠?靡磺邪旆ㄓ掌?沒(méi)г誦蠫_Server.exe程序。具體采用什么辦法，讀者可以充分發(fā)揮想象力，這里就不贅述。
G_Server.exe運(yùn)行后將自己拷貝到Windows目錄下(98/xp下為系統(tǒng)盤的windows目錄，2k/NT下為系統(tǒng)盤的Winnt目錄)，然后再?gòu)捏w內(nèi)釋放G_Server.dll和G_Server_Hook.dll到windows目錄下。G_Server.exe、G_Server.dll和G_Server_Hook.dll三個(gè)文件相互配合組成了灰鴿子服務(wù)端， G_Server_Hook.dll負(fù)責(zé)隱藏灰鴿子。通過(guò)截獲進(jìn)程的API調(diào)用隱藏灰鴿子的文件、服務(wù)的注冊(cè)表項(xiàng)，甚至是進(jìn)程中的模塊名。截獲的函數(shù)主要是用來(lái)遍歷文件、遍歷注冊(cè)表項(xiàng)和遍歷進(jìn)程模塊的一些函數(shù)。所以，有些時(shí)候用戶感覺(jué)種了毒，但仔細(xì)檢查卻又發(fā)現(xiàn)不了什么異常。有些灰鴿子會(huì)多釋放出一個(gè)名為G_ServerKey.dll的文件用來(lái)記錄鍵盤操作。注意，G_Server.exe這個(gè)名稱并不固定，它是可以定制的，比如當(dāng)定制服務(wù)端文件名為A.exe時(shí)，生成的文件就是A.exe、A.dll和A_Hook.dll。
Windows目錄下的G_Server.exe文件將自己注冊(cè)成服務(wù)（9X系統(tǒng)寫注冊(cè)表啟動(dòng)項(xiàng)），每次開機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng)G_Server.dll和G_Server_Hook.dll并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門功能，與控制端客戶端進(jìn)行通信；G_Server_Hook.dll則通過(guò)攔截API調(diào)用來(lái)隱藏病毒。因此，中毒后，我們看不到病毒文件，也看不到病毒注冊(cè)的服務(wù)項(xiàng)。隨著灰鴿子服務(wù)端文件的設(shè)置不同，G_Server_Hook.dll有時(shí)候附在Explorer.exe的進(jìn)程空間中，有時(shí)候則是附在所有進(jìn)程中。
灰鴿子的作者對(duì)于如何逃過(guò)殺毒軟件的查殺花了很大力氣。由于一些API函數(shù)被截獲，正常模式下難以遍歷到灰鴿子的文件和模塊，造成查殺上的困難。要卸載灰鴿子動(dòng)態(tài)庫(kù)而且保證系統(tǒng)進(jìn)程不崩潰也很麻煩，因此造成了近期灰鴿子在互聯(lián)網(wǎng)上泛濫的局

ppeehh · 發(fā)表于 2012-12-23 18:01:41

每次開機(jī)都能自動(dòng)運(yùn)行，運(yùn)行后啟動(dòng)G_Server.dll和G_Server_Hook.dll并自動(dòng)退出。G_Server.dll文件實(shí)現(xiàn)后門功能，與控制端客戶端進(jìn)行通信；

admin · 發(fā)表于 2012-12-23 21:17:19

不準(zhǔn)放馬謝謝你的鴿子過(guò)時(shí)了

tankai333 · 發(fā)表于 2012-12-24 21:51:56

噢噢噢噢原來(lái)這樣~~~~

a565632824 · 發(fā)表于 2013-4-9 13:32:58

.............................

red_hat08 · 發(fā)表于 2013-8-9 12:32:19

支持支持！

我的世界 · 發(fā)表于 2013-9-14 17:27:37

.......有人買過(guò)嗎說(shuō)說(shuō)怎么樣

2522658159 · 發(fā)表于 2013-9-19 11:24:39

哎，，，，，

zhengpengfei · 發(fā)表于 2013-10-17 17:59:56

頂起來(lái)頂起來(lái)

MC小賤 · 發(fā)表于 2013-11-4 20:01:47

要下載灰鴿子!我要灰鴿子下載哇!

		自動(dòng)登錄	找回密碼
密碼			立即注冊(cè)

久久精品中文字幕,狠狠色丁香婷婷综合,精品国产制服丝袜高跟,国内精品久久久久久久久齐齐 ,国模冰莲极品自慰人体

灰鴿子 一起研究下

灰鴿子一起研究下